在CentOS系统上搭建和配置OpenVPN服务的完整指南

随着远程办公与分布式团队的普及，虚拟私人网络（VPN）已成为企业保障网络安全、实现跨地域访问的关键工具，CentOS作为一款稳定、安全且广泛应用于服务器环境的操作系统，是部署OpenVPN服务的理想平台之一，本文将详细介绍如何在CentOS 7或8系统上安装、配置并启动OpenVPN服务,帮助网络管理员快速搭建一个可信赖的私有网络隧道。

确保你的CentOS系统已更新至最新版本，并具备root权限或sudo权限，建议使用最小化安装的CentOS镜像，避免不必要的软件包冲突,打开终端后执行以下命令更新系统：

sudo yum update -y

安装EPEL仓库（Extra Packages for Enterprise Linux）,因为OpenVPN及相关依赖项可能不在默认源中：

sudo yum install epel-release -y

然后安装OpenVPN和easy-rsa（用于证书管理）：

sudo yum install openvpn easy-rsa -y

安装完成后，进入easy-rsa目录并初始化密钥生成环境：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置证书颁发机构（CA）的相关信息，如国家、组织名等：

nano vars

修改以下参数（示例）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"
export KEY_CN=ca
export KEY_NAME=ca
export KEY_OU=MyCompany

保存后执行脚本生成CA证书：

./clean-all
./build-ca

接着生成服务器证书和密钥：

./build-key-server server

为客户端生成证书（每个客户端需单独生成）：

./build-key client1

生成Diffie-Hellman参数（用于密钥交换）：

./build-dh

复制必要的证书和密钥到OpenVPN配置目录：

cp ca.crt ca.key dh2048.pem server.crt server.key /etc/openvpn/

创建主配置文件 /etc/openvpn/server.conf如下（可根据实际网络调整）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

启用IP转发功能（允许流量通过）：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置防火墙规则（若使用firewalld）：

firewall-cmd --add-port=1194/udp --permanent
firewall-cmd --add-masquerade --permanent
firewall-cmd --reload

启动OpenVPN服务并设置开机自启：

systemctl start openvpn@server
systemctl enable openvpn@server

至此，OpenVPN服务器已在CentOS上成功部署，客户端可通过导入ca.crt、client1.crt、client1.key及对应的配置文件连接至服务器，从而安全地访问内网资源，此方案适合中小型组织，也可扩展为多用户、多分支架构的基础，记住定期备份证书和密钥,确保长期安全性。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速